Nach dem Cyber-Angriff bleibt die Unsicherheit

Ein Geschäftsmodell, das auch in Corona-Zeiten gut funktioniert, ist die Erpressung von Unternehmen. Server werden gekapert, verschlüsselt, Daten gestohlen und zu Geld gemacht. Ob Cyberattacken durch den Trend zum Homeoffice begünstigt werden, ist nicht belegt. In jedem Fall steigt die Gefahr aber schon seit Jahren, Opfer eines Angriffs zu werden. Zuletzt gab es auch in der Region mehr oder weniger erfolgreiche Versuche.

Hans Bühler kann sich gut an den 20. September erinnern. "Unser IT-Überwachungssystem meldete eine Anomalie", erzählt der geschäftsführende Gesellschafter des Verpackungsmaschinenherstellers Optima in Schwäbisch Hall. "Unsere Experten schauten sofort, was vor sich geht. Keine Stunde später war klar: Es ist ein Angriff." Große Bereiche des Systems waren unterwandert. Innerhalb kurzer Zeit habe man entschieden: "Wir ziehen alle Stecker."

Die Schadsoftware war bereits dabei, die Server zu verschlüsseln. Erste Daten waren abgezogen worden. Wenig später wurden sogar einige dieser Daten im Darknet veröffentlicht. Glück im Unglück: In die eigenen Produkte, die Maschinensoftware, waren die Angreifer nicht vorgedrungen.

Geschäftspartner haben schon eigene Erfahrungen gemacht

Wenige betroffene Firmen gehen so offen mit dem Thema um wie Optima. "Wir haben sofort unsere Kunden informiert, damit sie vorbereitet sind", erzählt der Firmenchef. Die Reaktion sei überraschend positiv ausgefallen.

"Einige waren selbst schon Opfer solcher Attacken geworden", wie Bühler erfuhr. Schnell konnte man sich austauschen. Nun war der Rat von Experten gefragt.

Studien und Umfragen mit Unschärfen

Das Thema nimmt Fahrt auf. Bereits im Juli zeigte eine Umfrage des Eco-Verbands der Internetwirtschaft, dass Webseiten-Hacking und Erpressungsversuche in diesem Jahr sprunghaft ansteigen.

Eine Zunahme sieht auch eine aktuelle Studie des Allianz-Industrieversicherers AGCS. der allerdings nur Zahlen bis 2019 berücksichtigt. Ransomware-Angriffe, also Verschlüsselung von Servern mit anschließender Lösegeldforderung, seien inzwischen die häufigste Form der Cyberkriminalität. Der jährliche Schaden weltweit liegt demnach bei mehr als 100 Milliarden Dollar.

Plötzlich findet man sich auf der Trophäenliste im Darknet

Wie hoch die gezahlten Lösegelder sind, ist unbekannt, weil Unternehmen dies nicht melden. Die Furcht vor einem Vertrauensverlust bei Geschäftspartnern ist groß. Somit haben weder das Landes-, noch das Bundeskriminalamt Erkenntnisse darüber, ob sich Fälle von Ransomware-Angriffen häufen. In den ersten sieben Monaten wurden insgesamt nur sieben Cybercrime-Angriffe in Baden-Württemberg gemeldet.

Die tatsächliche Zahl dürfte viel höher liegen. Optima-Chef Bühler weiß, dass seine Firma anfangs einen der ersten Plätze auf der Trophäenliste der Kriminellen im Darknet belegt habe. "Wir gehörten zu den ersten Opfern der Gruppe." Nach wenigen Wochen seien auf der Liste an die Hundert Unternehmen zu finden gewesen, die angeblich erfolgreich angegriffen wurden.

Wer Bitcoins überweist, der schweigt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiß, dass Erpressungsversuche derzeit "ein großes Thema" sind, wie Sprecherin Josephine Steffen sagt. Weil auch kleine und mittlere Unternehmen betroffen sind, hat das BSI eine eigene Einheit geschaffen, die diese unterstützt und berät.

Vorfälle müssen ihr aber nur von Unternehmen und Einrichtungen gemeldet werden, die zur "kritischen Infrastruktur" gehören. "Wir bekommen oft nur indirekt mit, dass Firmen bezahlen", sagt die Sprecherin. Aus offiziellen Zahlen sei deshalb nicht alles herauszulesen.

Das korrespondiert mit den Ergebnissen der Eco-Umfrage, wo nur ein IT-Experte von 100 angibt, Lösegeld bezahlt zu haben. Dabei weiß man auch in der Region Heilbronn-Franken von Fällen, bei denen Unternehmen offenbar keine andere Wahl blieb, als Bitcoins zu überweisen.

BSI: Das Geschäftsmodell der Hacker sollte man nicht befördern

In der Regel erscheint das notwendig, wenn sich die Daten nicht mehr wiederherstellen lassen. "No backup, no mercy", also "Kein Backup, keine Gnade", laute ein geflügeltes Wort in der IT-Sicherheit, sagt BSI-Sprecherin Steffen. "Wir raten dennoch davon ab zu zahlen, denn es ist keinesfalls sicher, dass die Verbrecher ihr Wort halten. Und wer zahlt, befördert leider auch deren Geschäftsmodell."

Inwiefern das Homeoffice das Risiko erhöht, lässt sich noch kaum abschätzen. Offensichtlich sei, dass viele Firmen mit dem Lockdown im Frühjahr ihre IT-Strukturen für die Arbeit zu Hause anpassen mussten, was automatisch Gefahren mit sich bringe, wie die BSI-Sprecherin sagt.

Auch EBM-Papst musste Lehrgeld bezahlen

Der Ventilatorenhersteller EBM-Papst aus Mulfingen war im Februar 2019 durch einen Trojanerangriff lahmgelegt worden. IT-Chef Oliver Kühnle hält die Schulung der Mitarbeiter für die wichtigste Maßnahme. "Schadsoftware in E-Mails, auf USB-Sticks oder auch die persönliche Kontaktaufnahme durch sogenanntes Social Hacking, dafür müssen wir unsere Leute sensibilisieren." Denn die Angriffsfläche für die Kriminellen vergrößere sich mit jedem IT-Service, den man anbiete. Nach dem Vorfall sei es unglaublich wertvoll gewesen, dass die IT-Experten in den Unternehmen der Region so gut vernetzt waren. Man half und hilft sich mit Know-how und - wenn Not am Mann ist - sogar mit Personal.

Nach dem Angriff habe EBM-Papst mehr als eine Million Euro in Sicherheitsmaßnahmen investiert, erzählt Kühnle. Stündlich würden inzwischen automatisierte Attacken registriert. "Doch gezielte Angriffe sind ein massives Problem", sagt Oliver Kühnle. Man befinde sich da in einem Wettrüsten mit den Hackern.

Optima-Chef Bühler: "Man weiß nie, was noch kommt"

Der indirekte Schaden bei Optima liegt ebenfalls im siebenstelligen Bereich, wie Hans Bühler verrät. Immerhin: Ein Jahr vor dem Angriff hatte das Unternehmen einen Angriff simulieren lassen und anschließend ein Konzept erarbeitet. Teilweise war das umgesetzt, sonst hätten die Angreifer womöglich leichteres Spiel gehabt. Einen expliziten Erpressungsversuch gab es nicht. Doch leider bedeute das nicht, dass alles überstanden ist. "Man weiß nie, was noch kommt. Ein Rest an Unsicherheit bleibt."

Online- und Offline-Kriminalität

Erpressungsversuche sind übrigens nur eine Variante, an das Geld der Firmen zu kommen. Eine andere, derzeit häufig genutzte Spielart, ist der sogenannte CEO-Fraud (Geschäftsführer-Betrug). Dabei wird in Mails vom angeblichen Geschäftsführer oder einer Führungskraft vertraulich darum gebeten, eine Überweisung vorzunehmen. Manchmal sind die Betrüger aber auch ganz konventionell selbst aktiv. Beim Ingelfinger Ventilhersteller Bürkert fälschte ein Unbekannter eine Überweisung nach Afrika inklusive Unterschrift. "Wir hatten alle Mühe, das Geld an einem Wochenende wieder zurückzuholen", erzählt Bürkert-Chef Heribert Rohrbeck.

Ansprechpartner

Die beim Landeskriminalamt eingerichtete Zentrale Ansprechstelle Cybercrime (ZAC) steht Wirtschaftsunternehmen in Baden-Württemberg für Informationsanfragen und zur Erstattung von Strafanzeigen zur Verfügung. Die Präventionsarbeit stellt einen Hauptschwerpunkt der ZAC dar. Sie wurde im Jahr 2020 bis einschließlich Oktober mehr als 1500 Mal kontaktiert. Davon beziehen sich lediglich knapp 70 der eingegangenen Anfragen und Mitteilungen auf "Ransomware", sprich Erpressungsversuche.

Präventionsunterlagen veröffentlicht die ZAC auf der Webseite www.lka-bw.de.